複数の CA によって署名された証明書

いいえ、X.509 証明書 (OpenSSL で使用されるタイプ) に複数の署名を含めることはできません。ただし、同じ機能を果たす複数の証明書を発行することは可能です。

キーとサブジェクトを同じにしておくと、CA が発行する証明書の有効な発行者証明書としてそれぞれを満たす複数の CA 証明書を作成できます。これらの CA 証明書は、それ自体が自己署名されている場合もあれば、クロス署名証明書と呼ばれる異なる CA によって発行されている場合もあります。

他の回答者の言う通りです。商用 CA であれば、CA に相互署名する前に、ポリシーと手順を徹底的に調べる必要があります。とはいえ、技術的な観点からは間違いなく可能です。

対象のユーザーが、管理するデバイスのみを使用している場合 (つまり、社内ユーザーの場合)、それらのデバイスにルート CA 証明書をインストールすることをお勧めします。これは多くの大企業が行っていることであり (私も自分のネットワークで実際に行っています)、独自のポリシーに従って、社内使用専用の証明書を好きなだけ発行できます。

一方、ユーザーが組織外の場合（または、たとえば在宅勤務の従業員）は、信頼できる商用 CA から証明書を発行してもらうのがおそらく最善です。このような証明書を大量に（年間 5 枚以上）必要とする場合、ほとんどの商用 CA には管理負担を軽減し、コストを削減するプログラムがあります。本当に大量に（年間 100 枚以上でない限り、探す必要すらないと思います）必要な場合は、CA に連絡してカスタムの従属 CA を設定することを検討できます（ただし、前述のように、CA はおそらく、新しい既存のものにクロスサインするのではなく、CA のポリシーに従って CA に署名してください。

信頼性を高めるために、これらの証明書を別の CA に署名してもらえればよいでしょう。

たとえこれが可能だったとしても、信頼できない当事者も証明書に署名しているため、信頼レベルは上がりません。つまり、証明書は一般に信頼できないはずです。主要なプラットフォームが実際に信頼している新しい CA ベンダーからのものにすべて署名することをお勧めします。

信頼を高める唯一の方法は、カナダ信頼できる CA によって署名されます。これにより、CA は中間 CA として機能し、クライアントは証明書チェーンをたどって事前に信頼された CA の 1 つまで戻ることができますが、発行された証明書はすべて 1 つの共通ルートから発行されます。

少なくとも理論上はそうなのですが、私の理解では、PKIをCAに渡さない限り、CAはそれを行おうとしないでしょう。CACert ウィキ問題に関する詳細が記載されています。

したがって、クライアントに新しい信頼できる CA をインストールしてもらうか、クライアント向けの証明書を独自の CA ではなく、Ramhound が提案したように、大規模な、事前に信頼されている CA によって発行してもらうか、どちらかしか方法がないようです。